세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
MS, “회사 컴퓨터로 암호화폐 채굴하는 자들 늘어나고 있다”
  |  입력 : 2018-03-14 10:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
일반인, 사이버 범죄자 구분 없는 암호화폐 사랑...관련 범죄도 증가
채굴 코드와 스크립트 자체는 합법...사용에 있어 불법적 행위 나타나


[보안뉴스 문가용 기자] 디지털 통화의 미래에 대해 단언할 수 있는 사람은 아무도 없다. 하지만 적어도 사이버 범죄 산업을 키우는 데 큰 역할을 하고 있다는 것만큼은 확실하다. 암호화폐는 사이버 범죄자들의 동기는 물론, 사이버 공격의 성격을 영원히 바꿔놓았다.

[이미지 = iclickart]


암호화폐의 가치가 급등함에 따라 일반 소비자들이 새로운 부를 꿈꾸며 너도 나도 암호화폐 투자에 몰려드는 것처럼, 범죄자들과 멀웨어 제작자들도 이 분야에 관심이 자연스럽게 쏠리게 됐다. 또한 암호화폐가 제공해주는 익명성은 범죄자들에게 있어 추가적인 매력 포인트이기도 했다. 그래서 이들은 랜섬웨어라는 협박 도구를 개발해 익명성이 보장되는 비트코인으로 돈을 뜯어냈다.
 
또한 범죄자들은 암호화폐를 직접 채굴할 수 있다는 것에도 착안하여 각종 채굴기를 개발해내기도 했다. 이는 암호화폐 채굴기, 크립토마이너, 코인 채굴기 등으로 불린다. 마이크로소프트의 윈도우 디펜더 리서치(Windows Defender Research) 팀에 소속된 알덴 포나스도로(Alden Pornasdoro), 마이클 존슨(Michael Johnson), 에릭 아베나(Eric Avena)는 최근 이 채굴기에 관한 보고서를 발표했다.
 
“암호화폐 채굴이란 블록체인 원장을 유지하는 데에 반드시 필요한 수학 계산을 실시하는 것”이라는 연구원들은 “이 행위 자체를 ‘악성’이라고 부를 수는 없다”고 말한다. “다만 결코 적지 않은 컴퓨팅 리소스를 소모시킵니다. 적절한 하드웨어만 구비할 수 있다면 합법적인 채굴 행위도 가능하고, 많은 기업과 사람들이 그렇게 하고 있습니다. 하지만 자기가 직접 장비 구매를 하기 싫은 사람들이 다른 사람의 컴퓨터를 몰래 사용해 채굴을 하기도 하는데, 이것이 불법 행위입니다.”
 
사이버 범죄자들에게 있어 봇넷을 구성해본 경험은 채굴을 위한 인프라를 구축할 기회로 환산된다. 다른 사람의 컴퓨터로 거대한 네트워크를 구성함으로써 남부럽지 않은 암호화폐 채굴 광산을 만들어낼 수 있는 것이다. 마이크로소프트가 최근에 발표한 보고서는 코인 채굴 멀웨어는 무엇이며, 웹 기반 채굴 스크립트는 또 무엇이고, 합법적이긴 하지만 허용되지 않는 채굴 애플리케이션이란 무엇인지가 상세히 나와 있다.

범죄자들의 다양한 수법  
사이버 범죄자들이 가장 많이 사용하는 수법은 기존의 암호화폐 채굴 코드를 자기 목적에 맞게 변형시켜 피해자 컴퓨터로 드롭시키는 것이다. 이 때 소셜 엔지니어링부터 멀웨어 감염, 익스플로잇까지 다양한 방법을 활용한다. 마이크로소프트에 의하면 2017년 9월부터 2018년 1월까지, 매달 평균 64만 4천개의 시스템이 암호화폐 채굴 코드에 감염됐다고 한다.

“암호화폐 채굴을 하는 공격자들의 대부분은 금전적인 목적을 가지고 움직이며, 따라서 투자 대비 수익률에 민감합니다.” 보안 업체 프루프포인트의 부회장인 케빈 엡스타인(Kevin Epstein)의 설명이다. 이 말은 채굴 코드의 효율이 떨어지는 순간 공격자들은 다른 방법을 모색할 것이라는 뜻이다. “그래서 최근 공격자들은 채굴 코드에 트로이목마 기능을 추가하기 시작했습니다.”

뿐만 아니라 랜섬웨어를 비롯한 각종 멀웨어를 흩뿌리는 데 활용됐던 익스플로잇 킷 역시 채굴 코드를 심는 데 사용되기 시작했다. 효율을 높이기 위한 방편이다. 소셜 엔지니어링 기법에서 답을 찾는 자들도 있다. 최근 채굴 코드인 XM리그(XMRig)는 가짜 플래시 플레이어 업데이트인 것처럼 위장된 상태로 여러 시스템에 심기기도 했다.

어떤 방법을 사용하든 대부분의 채굴 코드는 한 번 감염에 성공하면 기기 내에 최대한 오래 머무르기 위한 기능들을 발휘하기 시작한다. 마이크로소프트의 연구원들은 보고서를 통해 “암호화폐 채굴자들이 가장 원하는 건 시간”이라며 “장기간 시스템 내에 잠복해 있어야 효율이 높아지기 때문”이라고 설명했다. “오래 있을수록 리소스를 많이 사용할 수 있으니까요.” 그래서 공격자들은 레지스트리를 변경시키거나 코드를 주입하며, 파일레스 공격 등을 사용해 탐지를 최대한 피한다.

한편 브라우저를 기반으로 한 채굴 스크립트들도 존재한다. 특히 웹사이트에 아예 처음부터 심긴 것들도 있다. 웹사이트에 심겨져 방문자들의 리소스를 활용해 채굴하는 행위를 보통 크립토재킹(cryptojacking)이라고 한다. 이 역시 암호화폐에 대한 관심이 급증하면서 크게 늘어났다. 이러한 행위 자체는, 방문자에게 충분히 고지했고, 동의를 이끌어냈다는 전제 하에 불법이 아니다. 문제는 많은 웹사이트들에서 방문자 동의 부분을 간단히 무시한다는 것이다.

이렇게, 방문자들에게 제대로 알리지 않은 채 채굴을 하는 웹사이트들에서는 사용자들이 최대한 오래 머물러 있게 하기 위해 영상 스트림을 호스팅하거나 각종 팝업을 띄운다. 사용자들이 영상을 1초라도 더 보고, 팝업을 닫느라 1초라도 더 소비할 때, 이들은 뒷단에서 부지런히 채굴을 실시한다.
 
이런 상황에서 기업들을 실제적으로 머리 아프게 만드는 건 채굴 코드나 스크립트가 불법과 합법의 미묘한 경계선에 놓여 있는 경우가 많다는 것이다. 예를 들어 코인하이브(Coinhive) 등으로 대표되는 웹사이트 채굴 스크립트는 완전히 합법적인 것이지만, 일부 직원들이 집 전기세가 아까워 회사 컴퓨터로 이를 몰래 돌리기도 한다. 그러니 회사가 이를 탐지해내는 게 어렵다. 합법적인 코드를 내부자가 사용하는데, 기존 보안 시스템으로는 어떻게 할 방도가 없다.

마이크로소프트는 기업용 윈도우 사용자들의 시스템에 탑재되어 있는 PUA(잠재적 비요구 응용 프로그램) 탐지 시스템을 통해 2018년에만 벌써 1800여 대의 시스템에서 채굴 코드를 탐지해냈다고 한다. 이 숫자는 앞으로도 계속해서 증가할 것이라고 마이크로소프트는 내다보고 있다. “악성 프로그램만이 아니라 PUA에 대한 보안 수칙도 새롭게 세우고 기술도 마련해야 할 때”라고 마이크로소프트는 권고한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#MS   #암호화폐   #회사    #서버   #컴퓨터   #직원   #채굴   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)